Microsoft 365 in Hessen 2025: Datenschutzkonformität durch HBDI bestätigt

Arbeit Arbeitsplatz Kündigung Geschlossen Büro Dreck Schreibtisch

Am 15. November 2025 veröffentlichte der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einen umfassenden Bericht, der eine wichtige Weichenstellung für die Nutzung von Microsoft 365 (M365) in hessischen Behörden und Unternehmen markiert. Der Bericht kommt zu dem Schluss, dass die Cloud-Lösung unter bestimmten Voraussetzungen datenschutzkonform eingesetzt werden kann – eine Einschätzung, die auf monatelangen Verhandlungen mit Microsoft und einer kritischen Auseinandersetzung mit den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) basiert.

Besonders bemerkenswert ist, dass diese Bewertung sowohl für öffentliche Stellen als auch für nicht-öffentliche Verantwortliche, also Unternehmen und Organisationen der Privatwirtschaft, Gültigkeit besitzt. Allerdings zeigen sich in der praktischen Umsetzung und den rechtlichen Rahmenbedingungen Unterschiede, die eine differenzierte Betrachtung erfordern.

Anmerkung: Im Folgenden stelle ich meine Lesart des Berichts möglichst ohne tiefgehende eigene juristische Wertungen dar. Insgesamt bin ich sehr zurückhaltend bis skeptisch, inwieweit die aktuelle Stellungnahme für die Wirtschaft nutzbar zu machen ist, werde dies aber ggf. noch gesondert vertiefen. Hier soll erst einmal ein Überblick gegeben werden.

Hintergrund

Die Ausgangslage war von Skepsis geprägt. Noch im November 2022 hatte die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden, in einem Gutachten festgestellt, dass Verantwortliche den Nachweis einer DS-GVO-konformen Nutzung von M365 auf Basis des damaligen „Datenschutznachtrags“ (Data Protection Addendum, DPA) von Microsoft nicht erbringen könnten. Sieben zentrale Kritikpunkte wurden damals identifiziert, die von unklaren Angaben zu Art und Zweck der Datenverarbeitung bis hin zu unzulässigen Drittlandübermittlungen reichten. Diese Kritik bildete den Ausgangspunkt für die Gespräche zwischen dem HBDI und Microsoft, die im Januar 2025 begannen und nun in einem 137-seitigen Bericht mündeten.

Der HBDI betont, dass sich seit 2022 entscheidende Rahmenbedingungen verändert haben. Dazu zählen nicht nur rechtliche Anpassungen, wie der Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework, der Datenübermittlungen in die USA unter bestimmten Voraussetzungen wieder zulässt. Auch Microsoft selbst hat sein Datenschutzkonzept weiterentwickelt, etwa durch die Einführung der sogenannten „EU-Datengrenze“. Diese technisch-organisatorische Maßnahme sorgt dafür, dass personenbezogene Daten von europäischen Kunden fast ausschließlich innerhalb des Europäischen Wirtschaftsraums verarbeitet werden. Zudem hat das Unternehmen sein DPA überarbeitet, zusätzliche Dokumentationen wie das „M365-Kit“ bereitgestellt und sich in den Verhandlungen mit dem HBDI zu konkreten Verbesserungen verpflichtet.

Mangelnde Transparenz aufgegriffen

Ein zentraler Punkt der Kritik war die mangelnde Transparenz über die Verarbeitung personenbezogener Daten. Microsoft hat hier nachgebessert, indem es detailliertere Informationen zu den Datenkategorien und Verarbeitungszwecken bereitstellt. Für öffentliche Stellen in Hessen wurde das DPA sogar spezifisch angepasst, um den besonderen Anforderungen des öffentlichen Sektors gerecht zu werden. Während Behörden in Deutschland streng an die Vorgaben des Art. 6 DS-GVO gebunden sind und sich nicht auf die flexiblere Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO stützen können, genießen private Unternehmen hier mehr Spielraum. Der HBDI hebt hervor, dass Microsoft nun klarstellt, nur Log- und Diagnosedaten – nicht jedoch Inhaltsdaten – in anonymisierter und aggregierter Form für eigene Geschäftstätigkeiten zu nutzen. Diese Datenverarbeitung unterfalle entweder nicht dem Anwendungsbereich der DS-GVO oder sei datenschutzrechtlich vertretbar, sofern die Anonymisierung wirksam erfolgt.

Weisungsbindung von Microsoft als Auftragsverarbeiter

Ein weiterer Streitpunkt betraf die Weisungsbindung von Microsoft als Auftragsverarbeiter. Die DSK hatte bemängelt, dass sich das Unternehmen im DPA zu umfangreiche Befugnisse vorbehalte, Daten ohne explizite Weisung des Kunden zu verarbeiten oder an Drittstaaten weiterzugeben. Hier hat Microsoft nachgebessert und sich vertraglich verpflichtet, personenbezogene Daten nur auf dokumentierte Anweisung des verantwortlichen Kunden zu verarbeiten. Zudem unterwirft sich das Unternehmen nun ausdrücklich den Vorgaben der DS-GVO, selbst wenn es durch ausländische Behörden zu Handlungen verpflichtet werden sollte, die gegen europäisches Datenschutzrecht verstoßen. Für öffentliche Stellen in Hessen wurde diese Verpflichtung im DPA noch einmal präzisiert, um Rechtssicherheit zu schaffen. Private Unternehmen profitieren zwar von denselben vertraglichen Zusicherungen, müssen jedoch selbst sicherstellen, dass ihre Nutzung von M365 im Einklang mit den eigenen datenschutzrechtlichen Pflichten steht – etwa bei der Auswahl der konkreten Dienste und der Konfiguration der Datenflüsse.

Technische und organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen, die Microsoft zur Sicherung der Daten implementiert, wurden ebenfalls einer kritischen Prüfung unterzogen. Der HBDI stellt fest, dass Microsoft sich nunmehr ausdrücklich zur Einhaltung der Vorgaben des Art. 32 DS-GVO bekennt, der ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten fordert. Dies umfasst nicht nur die physikalische und logische Sicherheit der Daten, sondern auch die Unterstützung der Kunden bei der Erfüllung ihrer eigenen Compliance-Pflichten. So stellt Microsoft etwa über sein „Service Trust Portal“ umfassende Informationen zu den ergriffenen Sicherheitsmaßnahmen bereit, die Verantwortliche für ihre interne Dokumentation nutzen können. Besonders relevant ist dies für Behörden, die aufgrund ihrer hoheitlichen Aufgaben oft höhere Anforderungen an die Datensicherheit und -souveränität stellen müssen als private Unternehmen.

Löschung personenbezogener Daten

Ein praktisches Problem, das in der Vergangenheit zu Unsicherheiten führte, war die Löschung personenbezogener Daten nach Beendigung der Vertragsbeziehung. Der HBDI bestätigt, dass Microsoft nun einen klaren Löschprozess anbietet, der es Kunden ermöglicht, Daten entweder selbst zu löschen oder eine Löschung durch Microsoft zu veranlassen. Für öffentliche Stellen ist dies von besonderer Bedeutung, da sie aufgrund ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachweisen müssen, dass personenbezogene Daten nicht länger als notwendig gespeichert werden. Private Unternehmen sind zwar denselben Pflichten unterworfen, doch die konkrete Umsetzung kann hier flexibler gehandhabt werden, etwa durch individuelle Löschfristen oder die Nutzung von Archivierungslösungen.

Einsatz von Unterauftragsverarbeitern

Ein weiterer Fortschritt betrifft die Transparenz über den Einsatz von Unterauftragsverarbeitern. Die DSK hatte kritisiert, dass Microsoft seine Kunden nicht ausreichend über geplante Änderungen bei den beteiligten Dienstleistern informiere. Mittlerweile stellt Microsoft detaillierte Informationen zu allen Unterauftragsverarbeitern im Service Trust Portal bereit und kündigt Änderungen mit einer Vorlaufzeit von bis zu sechs Monaten an. Dies gibt sowohl Behörden als auch Unternehmen die Möglichkeit, die Einbindung Dritter in die Datenverarbeitung zu prüfen und gegebenenfalls Widerspruch einzulegen. Für öffentliche Stellen ist dies besonders relevant, da sie bei der Auftragsvergabe oft strengere Vorgaben einhalten müssen als private Unternehmen.

Drittlandübermittlungen

Die Frage der Drittlandübermittlungen, die in der Vergangenheit aufgrund des „Schrems-II“-Urteils des Europäischen Gerichtshofs besonders brisant war, wird im Bericht ebenfalls behandelt. Durch die Einführung der EU-Datengrenze und die Zertifizierung nach dem EU-US Data Privacy Framework hat Microsoft die rechtlichen Hürden für Datenübermittlungen in die USA deutlich gesenkt. Dennoch bleiben Restrisiken, etwa bei der Nutzung von Support-Diensten oder bei der Abwehr globaler Cyberbedrohungen, die nicht vollständig innerhalb der EU abgewickelt werden können. Hier setzt Microsoft auf Standardvertragsklauseln und zusätzliche technische Schutzmaßnahmen, um ein angemessenes Datenschutzniveau zu gewährleisten. Der HBDI weist jedoch darauf hin, dass Verantwortliche – ob öffentlich oder privat – weiterhin eine eigene Prüfung vornehmen müssen, ob die geplanten Datenübermittlungen im Einzelfall zulässig sind.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Ausblick

Der Bericht des HBDI ist sicherlich ein wichtiger Schritt hin zu mehr Rechtssicherheit bei der Nutzung von Microsoft 365 in Hessen. Sowohl Behörden als auch Unternehmen erhalten hier klare Vorgaben, unter welchen Bedingungen die Cloud-Lösung datenschutzkonform eingesetzt werden kann. Die grundsätzliche Machbarkeit ist damit bestätigt, die konkrete Umsetzung bleibt jedoch eine individuelle Aufgabe jeder verantwortlichen Stelle.

Öffentliche Stellen profitieren von spezifischen Anpassungen des DPA, die ihre besonderen Anforderungen berücksichtigen. Private Unternehmen haben mehr Flexibilität bei der Gestaltung ihrer Datenverarbeitung. Deutlich wird die altbekannte Binsenweisheit, dass Datenschutzkonformität kein statischer Zustand ist, sondern ein kontinuierlicher Prozess, der regelmäßige Überprüfungen und Anpassungen erfordert – sowohl seitens der Anbieter als auch seitens der Nutzer.

Einsatz von MS-Office wohl kein Selbstläufer

Trotz der positiven Gesamtbewertung betont der HBDI, dass die datenschutzkonforme Nutzung von M365 nur gelingen kann, wenn Microsoft und die verantwortlichen Stellen eng zusammenarbeiten. Der Bericht endet daher mit konkreten Handlungsempfehlungen, die sowohl Behörden als auch Unternehmen dabei unterstützen sollen, die DS-GVO-Anforderungen im eigenen Verantwortungsbereich umzusetzen. Für öffentliche Stellen in Hessen wurde das DPA so angepasst, dass es die spezifischen Anforderungen des öffentlichen Sektors besser abbildet.

Dazu gehört etwa die klare Trennung zwischen den Daten, die zur Erfüllung der Behördenaufgaben erforderlich sind, und solchen, die für Microsofts eigene Geschäftstätigkeiten genutzt werden dürfen. Private Unternehmen müssen hingegen selbst sicherstellen, dass ihre Nutzung von M365 mit den eigenen Datenschutzrichtlinien und den Vorgaben der DS-GVO vereinbar ist.

Die Unterschiede zwischen öffentlicher Hand und Privatwirtschaft zeigen sich auch in der rechtlichen Bewertung der sogenannten „Geschäftstätigkeiten“ von Microsoft. Während private Unternehmen die Verarbeitung anonymisierter Daten für Zwecke wie Abrechnung, Accountmanagement oder Produktverbesserungen in der Regel auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO stützen können, müssen Behörden hier auf spezifische Erlaubnistatbestände zurückgreifen. Der HBDI kommt zu dem Schluss, dass die von Microsoft vorgenommene Anonymisierung von Log- und Diagnosedaten in den meisten Fällen datenschutzrechtlich vertretbar ist, sofern die aggregierten Daten keinen Personenbezug mehr aufweisen. Für Behörden ist dies jedoch nur dann zulässig, wenn die Datenverarbeitung im Rahmen des Auftragsverhältnisses erfolgt und durch eine gesetzliche Grundlage gedeckt ist.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.